I. Ülevaade isikuandmete töötlemisest Tartu linna rattaringluse teenuse osutamisel
Tartu Linnavalitsuse linnamajanduse osakonna hallatav asutus Tartu Linnatransport osutab Tartu rattaringluse teenust. Teenuse kasutamiseks tuleb kasutajal luua endale veebilehel või mobiilirakenduses konto ning seejärel nõustuda Tartu rattaringluse kasutustingimustega.
Konto loomisel tuleb kasutajal sisestada ees- ja perekonnanimi, kontaktandmed (telefoninumber, e-posti aadress, elukoht), vanus ja krediitkaardi andmed. Kui soovitakse bussikaarti siduda rattaringluse kontoga, siis tuleb sisestada ka isikukood ning ühiskaardi või muu samaväärse märgise andmed.
Rattaringluse kasutamisel tekib kasutaja kohta tema sõitude ajalugu, sealhulgas on kogutavate andmete seas ratta rentimise ja tagastamise aeg ning koht, sõidu kestus ja sõidu teekond.
Kõik kogutavad andmed on vajalikud rattaringluse kasutuslepingu täitmiseks, sealhulgas teenusega seotud info ja teavituste edastamiseks ning teenuse kasutamisega kaasnevate võimalike nõuete esitamiseks.
II. Tartu rattaringluse infosüsteem
Bewegen Technologies Inc. on Tartu linnale üle andnud tähtajatu rattaringluse infosüsteemi kasutuslitsentsi. Tartu rattaringluse infosüsteemis töödeldavate andmete osas on Tartu Linnatransport vastutav töötleja ning süsteemi lahendust pakkuv Bewegen Technologies Inc. on volitatud töötlejaks.
Volitatud töötlejana on Bewegen Techonologies, Inc. vastavalt lepingule kohustatud kohaldama vastutava töötleja poolt kehtestatud nõudeid, sealhulgas rakendama andmete käideldavuse, terviklikkuse ja konfidentsiaalsuse osas ISKE (infosüsteemide kolmeastmelise etalonturbe süsteemi) turvanõudeid. Vastavalt lepingule on kohustus kohaldada meetmeid vastavalt lepingus määratud turvaklassile (K2T2S2).
K2T2S2 turvaklass tähendab:
K2 – töökindlus 99% ja lubatav nõutava reaktsiooniaja kasv tippkoormusel mõõdetav minutites;
T2 – info allikas, selle muutmise ja hävitamise fakt peavad olema tuvastatavad; vajalik on info õigsuse, täielikkuse ja ajakohasuse perioodiline kontroll;
S2 – info kasutamine on lubatud ainult teatud kindlatele kasutajate gruppidele, juurdepääs teabele on lubatav juurdepääsu taotleva isiku õigustatud huvi korral.
III. 08.07.2019 avastatud turvanõrkus
Rattaringluse infosüsteemis avastati 08.07.2019 turvanõrkus, millest anti teada Tartu Linnavalitsusele saabunud kirjas. Sellest teavitati koheselt arendajat ning telliti ka turvatestimine turvanõrkuse kohta esitatud informatsiooni tõesuse kontrollimiseks ja täpsemate asjaolude välja selgitamiseks. Selgus, et oli võimalik juurde pääseda kasutaja andmetele järgmiselt:
1) Infovahetuskihi (API) aadresside kaudu oli võimalik juurde pääseda rattaringluse kasutajate andmetele, milleks oli nimi, e-posti aadress, telefoninumber, userID, kasutajaks registreerimise aeg, kasutaja aktiivne/mitteaktiivne staatus, bussikaardi number (kui oli seotud kontoga);
2) Süsteemi registreerunud kasutajal endal oli teatud päringute kaudu võimalik juurde pääseda kasutaja poolt märgitud elukoha aadressi andmetele, sünnikuupäevale ja sõitude andmetele ning isikukoodile (kui kasutaja oli sidunud bussikaardi oma kontoga).
Turvanõrkuse põhjustas Bewegeni poolt ebapiisava juurdepääsukontrolli kohaldamine API liidesele.
09.07.2019 varahommikul andis arendaja teada, et avalikud API punktid on suletud ning läbi nende ei ole enam võimalik andmetele juurdepääsu saada. Seda kinnitas omakorda ka 09.07.2019 valminud teine turvatestimise raport. Turvanõrkuse kõrvaldamise järgselt teavitati koheselt ka esinenud turvanõrkusest vastavalt Andmekaitse Inspektsiooni ja Riigi Infosüsteemide Ametit.
IV. Läbiviidud turvatestid
Esimesed turvatestid viidi läbi 09.07.2019-10.07.2019, et selgitada välja esinenud turvanõrkuse asjaolud ning seejärel kinnitada selle lahendamist.
Ulatuslikum turvatestimine viidi läbi täiendavalt 05.08.2019-12.09.2019 ning turvatestimise raportid on edastatud partnerile Bewegen Technologies Inc., kes on alustanud täiendavate leidude lahendamist. Täiendava turvatestimise käigus ei leitud infosüsteemis selliseid turvanõrkusi, mille tagajärjel oleks võimalik juurde pääseda kasutajate isikuandmetele.
Bewegeni poolt läbiviidud auditi kohaselt olid 08.07.2019 avastatud turvanõrkusega seoses andmete poole pöördunud ainult turvanõrkuse avastanud isik ja linnavalitsuse poolt tellitud turvatesti läbiviijad.
V. Algatatud järelevalvemenetlused
Riigi Infosüsteemi Amet (RIA) algatas järelevalvemenetluse 15.07.2019, mille eesmärgiks oli kontrollida infosüsteemide turvameetmete rakendamise nõuetekohast täitmist. RIA teavitas menetluse lõpetamisest 02.12.2019. RIA leidis, et rattaringluse infosüsteemi puhul ei ole tegemist andmekoguga avaliku teabe seaduse § 431 lg 1 tähenduses ja kõrvaldatud on andmelekke põhjuseks olnud kitsaskohad.
Andmekaitse Inspektsioon (AKI) algatas järelevalvemenetluse 23.07.2019. Viimane täiendav järelepärimine esitati AKI poolt 23.10.2019 ja sellele vastati 24.10.2019. Täiendavaid järelpärimisi AKI seni esitanud ei ole ning menetlus kestab.